網(wǎng)關(guān)服務(wù)器安全策略

目標(biāo) : 網(wǎng)關(guān)服務(wù)器系統(tǒng)自生安全策略，只對內(nèi)網(wǎng)用戶開放22端口(sshd服務(wù))

  #清空 filter table
  [root@localhost]# iptables -F -t filter
  [root@localhost]# iptables -X -t filter
  [root@localhost]# iptables -Z -t filter
  
  #清空 nat table
  [root@localhost]# iptables -F -t nat
  [root@localhost]# iptables -X -t nat
  [root@localhost]# iptables -Z -t nat
  
  #設(shè)置默認(rèn)策略(INPUT鏈默認(rèn)為DROP)
  [root@localhost]# iptables -t filter -P INPUT drop
  [root@localhost]# iptables -t filter -P OUTPUT ACCEPT
  [root@localhost]# iptables -t filter -P FORWARD ACCEPT
  
  #回環(huán)接口(lo),默認(rèn)accept
  [root@localhost]# iptables -A INPUT -p ALL -i lo -j ACCEPT
  
  #只對內(nèi)網(wǎng)用戶開放sshd服務(wù)
  [root@localhost]# iptables -A INPUT -p tcp -s 192.168.138.0/24 --dport 22 -j ACCEPT

說明: 防火墻的策略順序一般都是 從 非信任 ==> 信任,默認(rèn)關(guān)閉所有訪問權(quán)限,然后按照需要逐條開放訪問權(quán)限.

共享上網(wǎng)(nat)

目標(biāo)：使局域網(wǎng)的用戶都可以訪問外網(wǎng)的服務(wù)器

  [root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
  [root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

說明: SNAT 和 MASQUERADE 區(qū)別

SNAT : 不管是幾個(gè)地址，必須明確的指定要SNAT的ip，適合網(wǎng)關(guān)服務(wù)器有固定地址或者是固定地址范圍. MASQUERADE : 是針對ADSL動(dòng)態(tài)撥號(hào)這種場景而設(shè)計(jì),從服務(wù)器的網(wǎng)絡(luò)接口上,自動(dòng)獲取當(dāng)前ip地址來做NAT,這樣就實(shí)現(xiàn)了動(dòng)態(tài)SNAT地址轉(zhuǎn)換

內(nèi)網(wǎng)的服務(wù)器對外服務(wù)(端口映射)

目標(biāo)：使外網(wǎng)用戶可以訪問到局域網(wǎng)192.168.138.21這臺(tái)HTTP服務(wù)

  [root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
  [root@localhost]# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.138.21
  [root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

在網(wǎng)關(guān)服務(wù)器進(jìn)行透明代理

目標(biāo): 使局域網(wǎng)用戶,訪問外網(wǎng)web服務(wù)時(shí)，自動(dòng)使用squid作web透明代理服務(wù)器。

  [root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
  [root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.138.1
  [root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 
  [root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE